專利名稱:移動(dòng)安全認(rèn)證終端及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電信技術(shù)及信息安全領(lǐng)域���,尤其涉及一種移動(dòng)安全認(rèn)證終端及方法���。
背景技術(shù):
隨著電信技術(shù)的逐漸發(fā)展��,目前已出現(xiàn)了利用移動(dòng)設(shè)備進(jìn)行金融業(yè)務(wù)的銀行類服務(wù)��,以此來(lái)提供較傳統(tǒng)銀行服務(wù)更為便利�����、高效和安全的服務(wù)方式�。為了確保這種新型服務(wù)方式的安全性����,目前的安全認(rèn)證方式主要有以下幾類1、賬號(hào)/密碼鑒權(quán)方式通過(guò)移動(dòng)終端內(nèi)安裝的客戶端輸入客戶的銀行帳號(hào)(或別名)以及密碼進(jìn)行登錄鑒權(quán)����,從而完成對(duì)客戶身份的認(rèn)證����;2、WAP認(rèn)證方式用戶在開(kāi)通銀行業(yè)務(wù)時(shí)將銀行賬號(hào)與手機(jī)號(hào)碼進(jìn)行綁定��,當(dāng)用戶通過(guò)WAP方式訪問(wèn)銀行系統(tǒng)時(shí),銀行系統(tǒng)通過(guò)電信運(yùn)營(yíng)商的WAP網(wǎng)關(guān)獲取用戶的手機(jī)號(hào)碼���,并將用戶登錄所用的手機(jī)號(hào)碼與該綁定的手機(jī)號(hào)碼進(jìn)行對(duì)比校驗(yàn),從而驗(yàn)證用戶身份�����;3����、動(dòng)態(tài)口令方式用戶需要更換專用的SIM卡,而該SIM卡可根據(jù)時(shí)間���、使用次數(shù)等條件產(chǎn)生不斷變化的密碼�,每個(gè)密碼只能使用一次���,用戶在進(jìn)行手機(jī)客戶端登錄鑒權(quán)及交易過(guò)程中需要輸入SIM卡產(chǎn)生的動(dòng)態(tài)密碼用于驗(yàn)證用戶身份�����。以上三種方式均具有一定的安全性�����,且可以結(jié)合使用�����,但仍均存在一定的安全隱患���,例如賬號(hào)密碼易于被盜取����、發(fā)生孖卡現(xiàn)象以及被釣魚(yú)網(wǎng)站竊取動(dòng)態(tài)密碼的可能�。對(duì)于大額支付、轉(zhuǎn)賬����、匯款等安全等級(jí)非常高的銀行業(yè)務(wù),目前的這些安全認(rèn)證方式尚不能滿足要求�����。目前已出現(xiàn)了一種PKI SIM卡�,通過(guò)引入數(shù)字證書(shū)、數(shù)字簽名等非對(duì)稱安全算法可以提高銀行業(yè)務(wù)的安全等級(jí)��,但目前移動(dòng)終端只能支持手機(jī)客戶端訪問(wèn)一些標(biāo)準(zhǔn)的機(jī)卡接口��,例如讀取通信賬號(hào)信息�、存儲(chǔ)卡內(nèi)信息、存儲(chǔ)卡內(nèi)電話簿等�����,而無(wú)法支持PKI SIM卡所增加的對(duì)PKI能力訪問(wèn)的機(jī)卡接口��,導(dǎo)致無(wú)法實(shí)現(xiàn)客戶端對(duì)PKI SIM卡的PKI能力的正常調(diào)用��。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種移動(dòng)安全認(rèn)證終端及方法�����,能夠調(diào)用PKI SIM卡的PKI 能力�,滿足移動(dòng)方式下銀行業(yè)務(wù)的更高級(jí)的安全需要。為實(shí)現(xiàn)上述目的�����,本發(fā)明提供了一種移動(dòng)安全認(rèn)證終端�,包括安全中間件,用于利用操作系統(tǒng)提供的AT指令通道將客戶端的PKI調(diào)用請(qǐng)求轉(zhuǎn)換為AT指令�����;基帶芯片,用于根據(jù)所述AT指令獲得與所述客戶端的PKI調(diào)用請(qǐng)求對(duì)應(yīng)的APDU 指令�����,并將所述APDU指令發(fā)送到PKI SIM卡��;PKI SIM卡��,作為安全模塊核心��,提供PKI能力的APDU指令的支持��。進(jìn)一步的��,所述安全中間件還包括
APDU轉(zhuǎn)換單元�,用于將PKI調(diào)用請(qǐng)求轉(zhuǎn)換為APDU指令;AT指令組裝單元��,用于將轉(zhuǎn)換后的APDU指令作為AT指令的參數(shù)組裝到AT指令中�����。進(jìn)一步的��,所述基帶芯片還用于對(duì)所述組裝的AT指令中的APDU指令的參數(shù)不做解析����,直接提取該APDU指令,傳入所述PKISIK卡中�。進(jìn)一步的,所述PKI SIM卡包括安全標(biāo)識(shí)檢查單元�,用于檢查接收到的APDU指令中是否包含安全應(yīng)用協(xié)議標(biāo)識(shí);PKI操作單元����,用于在確定接收到的APDU指令中包含安全應(yīng)用協(xié)議標(biāo)識(shí)時(shí),根據(jù)所述APDU指令中包括的安全應(yīng)用命令類型和安全應(yīng)用命令參數(shù)的長(zhǎng)度及內(nèi)容執(zhí)行相應(yīng)的 PKI操作���。進(jìn)一步的��,所述PKI調(diào)用請(qǐng)求包括公私鑰對(duì)的生成操作��、數(shù)字簽名�、加解密運(yùn)算或數(shù)字證書(shū)的保存/更新/讀取��。為實(shí)現(xiàn)上述目的�����,本發(fā)明提供了一種移動(dòng)安全認(rèn)證方法����,包括移動(dòng)安全認(rèn)證終端中的安全中間件利用操作系統(tǒng)提供的AT指令通道將客戶端的 PKI調(diào)用請(qǐng)求轉(zhuǎn)換為AT指令���;所述移動(dòng)安全認(rèn)證終端中的基帶芯片根據(jù)指令轉(zhuǎn)換表將所述AT指令轉(zhuǎn)換為APDU 指令,并將所述APDU指令發(fā)送到安設(shè)在所述移動(dòng)安全認(rèn)證終端中的PKI SIM卡�����;所述PKI SIM卡檢查接收到的APDU指令中是否包含安全應(yīng)用協(xié)議標(biāo)識(shí)��,在確定接收到的APDU指令中包含安全應(yīng)用協(xié)議標(biāo)識(shí)時(shí)�����,根據(jù)所述APDU指令中包括的安全應(yīng)用命令類型和安全應(yīng)用命令參數(shù)的長(zhǎng)度及內(nèi)容執(zhí)行相應(yīng)的PKI操作����。進(jìn)一步的,所述PKI調(diào)用請(qǐng)求包括公私鑰對(duì)的生成操作����、數(shù)字簽名、加解密運(yùn)算或數(shù)字證書(shū)的保存/更新/讀取�。為實(shí)現(xiàn)上述目的,本發(fā)明還提供了另一種移動(dòng)安全認(rèn)證方法,包括移動(dòng)安全認(rèn)證終端中的安全中間件將客戶端的PKI調(diào)用請(qǐng)求轉(zhuǎn)換為APDU指令�����,并將轉(zhuǎn)換后的APDU指令作為AT指令的參數(shù)組裝到AT指令中���;所述移動(dòng)安全認(rèn)證終端中的基帶芯片對(duì)所述組裝的AT指令中的APDU指令的參數(shù)不做解析,直接提取該APDU指令���,并傳入安設(shè)在所述移動(dòng)安全認(rèn)證終端中的PKI SIK卡中���;PKI SIM卡根據(jù)接收到的APDU指令中包括的安全應(yīng)用命令類型和安全應(yīng)用命令參數(shù)的長(zhǎng)度及內(nèi)容執(zhí)行相應(yīng)的PKI操作。進(jìn)一步的����,對(duì)于非PKI調(diào)用請(qǐng)求的普通調(diào)用請(qǐng)求,所述安全中間件利用操作系統(tǒng)提供的AT指令通道將客戶端的普通調(diào)用請(qǐng)求轉(zhuǎn)換為AT指令�����,所述基帶芯片在處理不包括 APDU指令的參數(shù)的AT指令時(shí)���,將該AT指令轉(zhuǎn)換為APDU指令��,并將所述APDU指令發(fā)送到 PKI SIM 卡���。進(jìn)一步的����,所述PKI調(diào)用請(qǐng)求包括公私鑰對(duì)的生成操作�����、數(shù)字簽名���、加解密運(yùn)算或數(shù)字證書(shū)的保存/更新/讀取���。基于上述技術(shù)方案�,本發(fā)明克服了現(xiàn)有手機(jī)終端只能支持標(biāo)準(zhǔn)集卡接口,而無(wú)法支持PKI SIM卡所提供的PKI能力訪問(wèn)的問(wèn)題���,通過(guò)支持新的APDU指令接口方式或擴(kuò)展現(xiàn)有的機(jī)卡接口指令的方式�����,使得終端能夠順利的支持PKI SIM卡所提供的PKI能力訪問(wèn)�,從滿足移動(dòng)方式下銀行業(yè)務(wù)的業(yè)務(wù)申請(qǐng)、證書(shū)更新�����、登錄鑒權(quán)以及業(yè)務(wù)交易等更高級(jí)的安全需要����。
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分���,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定����。在附圖中圖1為本發(fā)明移動(dòng)安全認(rèn)證終端的一實(shí)施例的結(jié)構(gòu)示意圖。圖2為本發(fā)明移動(dòng)安全認(rèn)證終端的另一實(shí)施例的結(jié)構(gòu)示意圖��。圖3為本發(fā)明移動(dòng)安全認(rèn)證終端的又一實(shí)施例的結(jié)構(gòu)示意圖����。圖4為本發(fā)明移動(dòng)安全認(rèn)證方法的一實(shí)施例的流程示意圖��。圖5為本發(fā)明移動(dòng)安全認(rèn)證方法的另一實(shí)施例的流程示意圖�。圖6為本發(fā)明移動(dòng)安全認(rèn)證方法實(shí)施例的應(yīng)用場(chǎng)景示意圖���。
具體實(shí)施例方式下面通過(guò)附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述����。如圖1所示,為本發(fā)明移動(dòng)安全認(rèn)證終端的一實(shí)施例的結(jié)構(gòu)示意圖��。在本實(shí)施例中��,移動(dòng)安全認(rèn)證終端包括安全中間件1��、基帶芯片2和PKI SIM卡3�����。其中��,安全中間件1 負(fù)責(zé)利用操作系統(tǒng)提供的AT指令通道將客戶端的PKI調(diào)用請(qǐng)求轉(zhuǎn)換為AT指令�����。安全中間件1可以屏蔽手機(jī)操作系統(tǒng)�、PKI SIM卡版本等的區(qū)別,為客戶端提供統(tǒng)一的安全應(yīng)用API 接口進(jìn)行調(diào)用��,而這里的客戶端通常指與服務(wù)相關(guān)的業(yè)務(wù)客戶端,例如手機(jī)銀行客戶端��,通過(guò)調(diào)用安全中間件1所提供的API接口完成手機(jī)銀行業(yè)務(wù)功能���。手機(jī)中的操作系統(tǒng)要為AT指令提供通道支持�,常用的操作系統(tǒng)接口層包括 JSR-177����、Windows Mobile RIL 或 Android RIL 等?��;鶐酒?負(fù)責(zé)根據(jù)AT指令獲得與客戶端的PKI調(diào)用請(qǐng)求對(duì)應(yīng)的APDU指令�����,并將APDU指令發(fā)送到PKI SIM卡3。PKI SIM卡3作為安全模塊核心���,提供PKI能力的APDU 指令的支持���。PKI SIM卡3是一種專用的SIM卡,帶有RSA硬件協(xié)處理器���,可支持RSA的快速計(jì)算及公/私密鑰對(duì)生成�����??▋?nèi)可存儲(chǔ)一個(gè)或多個(gè)銀行的公/私鑰對(duì)及數(shù)字證書(shū),為手機(jī)銀行業(yè)務(wù)提供安全加密及數(shù)字簽名功能��。下一個(gè)實(shí)施例給出的是通過(guò)定義新的APDU指令接口方式來(lái)實(shí)現(xiàn)客戶端對(duì)PKI SIM卡中的PKI能力的調(diào)用�����。如圖2所示���,為本發(fā)明移動(dòng)安全認(rèn)證終端的另一實(shí)施例的結(jié)構(gòu)示意圖�。與上一實(shí)施例相比��,本實(shí)施例中的安全中間件包括APDU轉(zhuǎn)換單元11和AT指令組裝單元12����。其中APDU轉(zhuǎn)換單元11負(fù)責(zé)將PKI調(diào)用請(qǐng)求轉(zhuǎn)換為APDU指令。AT指令組裝單元負(fù)責(zé)將轉(zhuǎn)換后的APDU指令作為AT指令的參數(shù)組裝到AT指令中�。在本實(shí)施例中安全中間件除提供了 AT指令的接口之外,還提供了通用的APDU訪問(wèn)接口���,例如采用 GSM07. 07 中 8. 17Generic SIMacccess+CSIM (通用 SIM訪問(wèn)+CSIM)協(xié)議���, 此時(shí)就可以直接將PKI調(diào)用請(qǐng)求轉(zhuǎn)換為APDU指令���,并將該APDU指令作為AT指令中參數(shù)的一部分,利用AT指令通道發(fā)送給基帶芯片����,此時(shí)由于已存在APDU指令,基帶芯片不再需要對(duì)這部分APDU指令進(jìn)行轉(zhuǎn)換����,而是直接提取出該部分APDU指令,并傳送到PKI SIM卡中��。另外�,也可以選擇對(duì)現(xiàn)有的機(jī)卡接口指令進(jìn)行擴(kuò)展,這種方式避免對(duì)終端的硬軟件進(jìn)行較多的升級(jí)和修改�����。具體參見(jiàn)圖3�,該圖為本發(fā)明移動(dòng)安全認(rèn)證終端的又一實(shí)施例的結(jié)構(gòu)示意圖��。在本實(shí)施例中,PKI SIM卡包括安全標(biāo)識(shí)檢查單元31和PKI操作單元32��。其中����,安全標(biāo)識(shí)檢查單元31負(fù)責(zé)檢查接收到的APDU指令中是否包含安全應(yīng)用協(xié)議標(biāo)識(shí)。PKI 操作單元32負(fù)責(zé)在確定接收到的APDU指令中包含安全應(yīng)用協(xié)議標(biāo)識(shí)時(shí)�,根據(jù)所述APDU指令中包括的安全應(yīng)用命令類型和安全應(yīng)用命令參數(shù)的長(zhǎng)度及內(nèi)容執(zhí)行相應(yīng)的PKI操作。
以標(biāo)準(zhǔn)的更新卡短信內(nèi)容的APDU指令格式為例��,其格式如下
權(quán)利要求
1.一種移動(dòng)安全認(rèn)證終端���,包括安全中間件�,用于利用操作系統(tǒng)提供的AT指令通道將客戶端的PKI調(diào)用請(qǐng)求轉(zhuǎn)換為AT 指令����;基帶芯片,用于根據(jù)所述AT指令獲得與所述客戶端的PKI調(diào)用請(qǐng)求對(duì)應(yīng)的APDU指令���, 并將所述APDU指令發(fā)送到PKI SIM卡�;PKI SIM卡�����,作為安全模塊核心,提供PKI能力的APDU指令的支持���。
2.根據(jù)權(quán)利要求1所述的移動(dòng)安全認(rèn)證終端����,其中所述安全中間件還包括 APDU轉(zhuǎn)換單元��,用于將PKI調(diào)用請(qǐng)求轉(zhuǎn)換為APDU指令�����;AT指令組裝單元���,用于將轉(zhuǎn)換后的APDU指令作為AT指令的參數(shù)組裝到AT指令中�����。
3.根據(jù)權(quán)利要求2所述的移動(dòng)安全認(rèn)證終端����,其中所述基帶芯片還用于對(duì)所述組裝的 AT指令中的APDU指令的參數(shù)不做解析����,直接提取該APDU指令,傳入所述PKI SIK 卡中����。
4.根據(jù)權(quán)利要求1所述的移動(dòng)安全認(rèn)證終端,其中所述PKISIM卡包括安全標(biāo)識(shí)檢查單元��,用于檢查接收到的APDU指令中是否包含安全應(yīng)用協(xié)議標(biāo)識(shí)���; PKI操作單元�����,用于在確定接收到的APDU指令中包含安全應(yīng)用協(xié)議標(biāo)識(shí)時(shí)��,根據(jù)所述 APDU指令中包括的安全應(yīng)用命令類型和安全應(yīng)用命令參數(shù)的長(zhǎng)度及內(nèi)容執(zhí)行相應(yīng)的PKI 操作����。
5.根據(jù)權(quán)利要求1 4任一所述的移動(dòng)安全認(rèn)證終端��,其中所述PKI調(diào)用請(qǐng)求包括 公私鑰對(duì)的生成操作���、數(shù)字簽名����、加解密運(yùn)算或數(shù)字證書(shū)的保存/更新/讀取。
6.一種移動(dòng)安全認(rèn)證方法���,包括移動(dòng)安全認(rèn)證終端中的安全中間件利用操作系統(tǒng)提供的AT指令通道將客戶端的PKI 調(diào)用請(qǐng)求轉(zhuǎn)換為AT指令�����;所述移動(dòng)安全認(rèn)證終端中的基帶芯片根據(jù)指令轉(zhuǎn)換表將所述AT指令轉(zhuǎn)換為APDU指令����,并將所述APDU指令發(fā)送到安設(shè)在所述移動(dòng)安全認(rèn)證終端中的PKI SIM卡���;所述PKI SIM卡檢查接收到的APDU指令中是否包含安全應(yīng)用協(xié)議標(biāo)識(shí)�,在確定接收到的APDU指令中包含安全應(yīng)用協(xié)議標(biāo)識(shí)時(shí)�,根據(jù)所述APDU指令中包括的安全應(yīng)用命令類型和安全應(yīng)用命令參數(shù)的長(zhǎng)度及內(nèi)容執(zhí)行相應(yīng)的PKI操作。
7.根據(jù)權(quán)利要求6所述的移動(dòng)安全認(rèn)證方法�����,其中所述PKI調(diào)用請(qǐng)求包括公私鑰對(duì)的生成操作����、數(shù)字簽名�����、加解密運(yùn)算或數(shù)字證書(shū)的保存/更新/讀取。
8.一種移動(dòng)安全認(rèn)證方法���,包括移動(dòng)安全認(rèn)證終端中的安全中間件將客戶端的PKI調(diào)用請(qǐng)求轉(zhuǎn)換為APDU指令���,并將轉(zhuǎn)換后的APDU指令作為AT指令的參數(shù)組裝到AT指令中;所述移動(dòng)安全認(rèn)證終端中的基帶芯片對(duì)所述組裝的AT指令中的APDU指令的參數(shù)不做解析�����,直接提取該APDU指令�,并傳入安設(shè)在所述移動(dòng)安全認(rèn)證終端中的PKI SIK卡中;PKI SIM卡根據(jù)接收到的APDU指令中包括的安全應(yīng)用命令類型和安全應(yīng)用命令參數(shù)的長(zhǎng)度及內(nèi)容執(zhí)行相應(yīng)的PKI操作���。
9.根據(jù)權(quán)利要求8所述的移動(dòng)安全認(rèn)證方法�����,其中對(duì)于非PKI調(diào)用請(qǐng)求的普通調(diào)用請(qǐng)求�,所述安全中間件利用操作系統(tǒng)提供的AT指令通道將客戶端的普通調(diào)用請(qǐng)求轉(zhuǎn)換為AT 指令����,所述基帶芯片在處理不包括APDU指令的參數(shù)的AT指令時(shí)��,將該AT指令轉(zhuǎn)換為APDU 指令����,并將所述APDU指令發(fā)送到PKI SIM卡���。
10.根據(jù)權(quán)利要求8或9所述的移動(dòng)安全認(rèn)證方法����,其中所述PKI調(diào)用請(qǐng)求包括公私鑰對(duì)的生成操作����、數(shù)字簽名、加解密運(yùn)算或數(shù)字證書(shū)的保存/更新/讀取����。
全文摘要
本發(fā)明涉及一種移動(dòng)安全認(rèn)證終端,包括安全中間件���,用于利用操作系統(tǒng)提供的AT指令通道將客戶端的PKI調(diào)用請(qǐng)求轉(zhuǎn)換為AT指令���;基帶芯片�����,用于根據(jù)所述AT指令獲得與所述客戶端的PKI調(diào)用請(qǐng)求對(duì)應(yīng)的APDU指令�,并將所述APDU指令發(fā)送到PKI SIM卡�;PKI SIM卡,作為安全模塊核心�,提供PKI能力的APDU指令的支持���。本發(fā)明還涉及一種移動(dòng)安全認(rèn)證方法��。本發(fā)明克服了現(xiàn)有手機(jī)終端只能支持標(biāo)準(zhǔn)集卡接口���,而無(wú)法支持PKI SIM卡所提供的PKI能力訪問(wèn)的問(wèn)題,通過(guò)支持新的APDU指令接口方式或擴(kuò)展現(xiàn)有的機(jī)卡接口指令的方式�,使得終端能夠順利的支持PKI SIM卡所提供的PKI能力訪問(wèn),從滿足移動(dòng)方式下銀行業(yè)務(wù)的業(yè)務(wù)申請(qǐng)����、證書(shū)更新、登錄鑒權(quán)以及業(yè)務(wù)交易等更高級(jí)的安全需要�。
文檔編號(hào)H04W12/06GK102202306SQ20111015709
公開(kāi)日2011年9月28日 申請(qǐng)日期2011年6月13日 優(yōu)先權(quán)日2011年6月13日
發(fā)明者張文安, 張湘東, 謝云, 黃澤龍 申請(qǐng)人:中國(guó)電信股份有限公司